Кaspersky

Fraud
Prevention
2019
Отчёт о кибермошенничестве
на основе данных Kaspersky
Fraud Prevention

Подробнее на
kfp.kaspersky.com
Содержание
Кибермошенничество в 2019 году 2

Законодательство о безопасности финансовых организаций:

что важно знать и как этому соответствовать 4

Общая статистика на основе данных

Kaspersky Fraud Prevention 6

Тенденции кибермошенничества в 2019 году 8

Наступил век «бото-человека» 9

Хороший – плохой – злой 12
Цифровые отпечатки 14
Программное обеспечение, поставляющее цифровых двойников 15
Социальная инженерия 19
Цифровая кража мобильного устройства
(RAT: TeamViewer, AnyDesc) 20
Получение доверия при помощи интерактивного
голосового меню (IVR) 21
Подмена номеров IP/SIP телефонии 21
Работа под легендой: «Спасатель» и «Инвестор»
как виды социальной инженерии 22
Отказ от паролей, или «Passwordless» 23

Мобильные угрозы для финансовых учреждений 24

Этапы атаки с помощью Trojan-Banker.AndroidOS.Gustuff.a 24
Криминальные группировки, специализирующиеся на атаках
на банковский сектор 25

Интересные случаи мошенничества, обнаруженные

Kaspersky Fraud Prevention 26
Использование SIM-карт для мошенничества 26

Использование городской инфраструктуры 27

Welcome fraud 28

Наши руки не для скуки, или крадём вручную 29

Credential stuffing 30

Отмывание денег и мошенничество в финансовом секторе 31

Почему необходимо бороться с мошенничеством? 32

Предсказания по трендам кибермошенничества

на 2020 год 34
Кибермошенничество в 2019 году
В сегодняшнем динамично развивающемся цифровом мире регулирующие органы пытаются решать
многоплановую задачу обеспечения защиты потребителей, одновременно поощряя инновации
и экономическое развитие. В силу того, что географические границы всё более размываются,
а объем передаваемых через них данных постоянно растет, становится всё сложнее успевать
за злоумышленниками и разрабатывать нормативные положения, отвечающие новым технологиям
и видам киберпреступлений.

По мере развития социально-экономического ландшафта, с появлением «гиг-эко-

Об авторе данного раздела, номики» (экономика совместного пользования), ростом популярности удалённой
Нейре Джонс (Neira Jones)* и мобильной работы, широким внедрением облачных вычислений и модели «всё
как сервис», концепция управления идентификационной информацией теперь
Имея более чем 20-летний опыт должна включать в себя то, чем люди обладают, делятся и что используют. «Вещи»
работы в сфере финансовых услуг становятся частью нашей жизни и поэтому должны определяться и управляться
и технологий, Нейра верит в измене- соответственно. «Вещи» теперь являются частью «контекста», в котором мы
ния за счёт инноваций и партнёрства. взаимодействуем, и по мере того как предприятия всё шире внедряют умные и ко-
нечные устройства и другие технологии BYOD (Bring Your Own Device), электронные
Различные организации регулярно
приглашают её для консультаций по
этикетки, датчики, управление процессами и распределенное управление), растёт
платежам, финтех- и регтехвопро- поверхность атаки.
сам, киберпреступности, инфор-
мационной безопасности, норма- Ситуация ещё более осложняется из-за нехватки стандартов и недостаточной
тивно-правовому регулированию совместимости устройств, а также нехватки координации между разными от-
(PSD2, GDPR, AML и др.) и цифровым раслями и юрисдикциями. Кроме того, отдавая приоритет технологиям, не стоит
инновациям. упускать из виду человеческий фактор: социальная инженерия остается главной
причиной нарушения целостности данных, поэтому хорошая стратегия кибербез-
Нейра всегда стремится внести опасности всегда должна включать три элемента – людей, процессы и технологии.
ясность и логику в обсуждение
текущих проблем и с готовностью
выступает в качестве эксперта в во- Без сомнения, текущий ландшафт отличает не только постоянно растущая по-
просах, связанных с безопасностью верхность атаки, но и путаница с нормативными требованиями. Эта сложность
платежей. вызвала необходимость всё большей автоматизации, которая в свою очередь
породила запрос на создание обеспечивающих ее технологий (искусственный
Она активно присутствует в соци- интеллект, машинное обучение, поведенческая аналитика) и привела к рождению
альных медиа, регулярно выступает такого термина, как RegTech (Регуляторные технологии или регтех), обозначающе-
в роли ведущего и докладчика на го применение технологий для улучшения нормативно-регулирующих процессов.
глобальных мероприятиях, а также
в качестве комментатора в СМИ.
Тем не менее не стоит заблуждаться: хотя автоматизация стала обязательной
Нейра является независимым членом частью любой стратегии кибербезопасности, сама по себе она не обеспечивает
правления компании Cyber1, которая создание адекватной или даже жизнеспособной стратегии. В идеальном мире
работает в сфере кибербезопас- технология могла бы обнаруживать и предупреждать преступления без участия
ности и имеет листинг на бирже человека. К сожалению, реальная жизнь не соответствует этим планам.
NASDAQ, и занимает пост председа-
теля консультативного совета техно- Технологии хороши лишь настолько, насколько хороши их разработчики, а данные,
логической компании Ensygnia. из которых можно извлечь полезную информацию, не являются ни совершенными,
ни абсолютно точными. Помимо этого, технология может использоваться против
Она является партнёром Междуна-
родной глобальной киберассоциа-
себя же, что стало очевидным с появлением таких методов, как вредоносное
ции (Global Cyber Alliance) и посто- машинное обучение (Adversarial Machine Learning), когда кибермошенники вме-
янным представителем Ассоциации шиваются в работу защитных технологий с целью представить свою вредоносную
перспективных платежей (Emerging активность как легитимную или безобидную.
Payments Association).
Так что не стоит поддаваться шумихе – к любому технологическому решению,
претендующему на абсолютную защиту, нужно подходить с осторожностью.
В то время как такие технологии, как искусственный интеллект и поведенче-
ская биометрия, с успехом применяются, позволяя снижать конкретные риски,
хорошая стратегия кибербезопасности всегда основывается на здравом смысле:
никакая технология по отдельности не может решить поставленную задачу.

* Полный текст статьи:

https://kfp.kaspersky.com/wp-content/
uploads/2019/05/It-aint-what-you-do-NJ-WEB.pdf

2
Как всегда, сначала нужно разобраться с базовыми потребностями и обеспечить
управление специфичными для организации рисками. Требуется внедрить необ-
ходимые технологии (защита конечных устройств, обнаружение вредоносного ПО,
управление доступом и др.), а также процессы, обеспечивающие эффективность
этих технологий (реагирование на инциденты, управление жизненным циклом ПО,
управление цепочками поставок, установка исправлений, шифрование и др.).

И конечно, нужно обратить внимание на человеческий фактор – как внутри ор-

ганизации, так и в работе с потребителем (обучение, образование, политики для
конечных пользователей, допустимое использование и др.).

Внедрение многоуровневого подхода и автоматизации процессов позволяет сни-

зить нагрузку на сотрудников и высвободить ресурсы, необходимые для работы
со сложными случаями, анализа и решения важных для бизнеса задач. В правиль-
ном контексте каждому аспекту находится место.

3
Законодательство о безопасности
финансовых организаций: что важно
знать и как этому соответствовать
Европа
Прошло два года с тех пор, как 13 января 2018 г. вступила в силу вторая Директива
о платёжных услугах (PSD2). Возникло много вопросов, в частности, как и когда
применяется строгая аутентификация клиента и является ли предоставление
третьим сторонам доступа к банковским счетам через API или другие интерфейсы
чем-то, что может нарушить устоявшуюся экосистему (или принести ей пользу).

Ситуация осложнилась ещё больше со вступлением в силу Общего регламента

защиты данных (GDPR) 25 мая 2018 года и усилением строгих правил по борьбе
с отмыванием денег во всём мире. Одной из положительных тенденций на рынке
стало появление новых сервисов, использующих преимущества Open Banking.
Приложения для банковских лицензий стали очень популярными (конечно, в Ев-
ропе), и все виды организаций, которые подали заявки на регистрацию в качестве
сторонних поставщиков в этой внезапно более открытой платёжной экосистеме.

То, что произошло в 2018 году, является странным и повсеместным изменением

корпоративной культуры. Это связано с тем, что за последние несколько лет
новый урожай цифровых технологий помог осознать, что в центре их видения
победит их большая добрая воля, и технологии использовались для создания этой
доброй воли, не обремененной устаревшей инфраструктурой. Это не случилось
внезапно. Например, хорошо зарекомендовавшие себя компании, такие как Intuit,
Trustly, Sofort, Yodlee и Mint, в течение многих лет полагались на то, что обычно
называют «Screen scraping». Это сопряжено с риском, поскольку киберпреступ-
ность продолжает развиваться наряду с развитием технологий, мошенничество
и кража личных данных стали постоянной проблемой современности.

По нашему мнению, внедрение таких мер совершенно понятно с точки зрения

безопасности: при использовании модели прямого доступа владелец банковского
счёта должен делиться своими банковскими учётными данными с третьей сторо-
ной, чтобы можно было получить информацию из информации о банковском счёте
для предоставления услуги (например, налоговой декларации). Понятно, что банки
недовольны этой моделью, потому что у них нет возможности узнать, получает ли
клиент доступ к своей учётной записи напрямую или через третье лицо, поскольку
оба варианта используют один и тот же набор учётных данных. До PSD2 эти третьи
стороны были нерегулируемыми. PSD2 ставит их под нормативный контроль
в качестве сторонних поставщиков (third-party providers) и классифицирует их как
поставщиков информационных услуг учётной записи (AISP), таких как Intuit, и по-
ставщиков услуг инициирования платежей (PISP), таких как Sofort.

PSD2 нацелен на повышение PSD2 вступил в полную силу 14 сентября 2019 года, но из-за задержек во внедре-
безопасности экосистемы нии Европейский банковский орган разрешил продление сроков строгой аутенти-
с помощью дифференцированной фикации клиентов (SCA).
аутентификации различных сторон
при доступе к платёжным счетам.
SCA основан на использовании двух или более факторов, классифицированных как:
• знание (то, что знает только пользователь);
• владение (то, чем обладает только пользователь);
• свойственность (что-то, что типично для пользователя).

Эти факторы должны быть одноразовыми, не тиражируемыми (кроме инерцион-

ных) и храниться в безопасности. Это делается для того, чтобы нарушение одного
не ставило под угрозу надежность других, и было разработано таким образом,
чтобы защитить конфиденциальность данных аутентификации.

Кроме того, для удалённых транзакций (например, онлайн-платежей, когда пользо-

ватель инициирует перевод средств через свое банковское приложение или платеж
на основе карты на веб-сайте продавца), где риск выше, генерируемый код аутенти-
фикации должен соответствовать сумме платёжной операции и получателю.

По сути, регламент предписывает оценку рисков для каждой транзакции, и, если

риск низкий и применяется исключение, SCA не потребуется. Это означает, что
упрощенные способы оплаты (например, одним щелчком мыши) всё ещё возмож-
ны, но участники экосистемы должны иметь возможность эффективно использо-
вать данные.1
1
https://kas.pr/z8iv

4
Наши рекомендации: Россия
• Осуществлять контроль иденти- Большинство мошеннических операций связаны с выводом похищенных средств,
фикатора устройства, с которого уходом от налогообложения, отмыванием доходов, полученных преступным путем
происходит доступ клиента к автома-
для финансирования терроризма и другой нелегальной деятельности.
тизированной системе, на предмет
его совпадения с идентификаторами
устройств других клиентов кредитной Последствия этих действий негативно влияют на бизнес финансовых организа-
организации, в том числе тех кли- ций, нанося непосредственный репутационный и финансовый ущерб компании
ентов, счета которых были закрыты и ее клиентам, а также привлекая внимание регулирующих органов.
в рамках реализации «противолегали-
зационных» мероприятий. Несоблюдение установленных регламентов влечет за собой штрафные санкции,
ограничение в предоставлении операционных услуг, таких как прием вкладов
• Реализовать механизмы проверки от физических лиц, выдача кредитов юридическим лицам.
операций на предмет участия в
отмывании доходов, полученных не-
легальным путем, не всегда напрямую При подозрении, что операция осуществляется без согласия клиента, банку кри-
связанных с кражей денег с расчётных тически важно получить информацию незамедлительно. Даже при условии, что
счётов. введен верный пин-код или использована электронная подпись, существует риск,
что операция осуществляется злоумышленником. Kaspersky Fraud Prevention
При осуществлении финансовых опе- автоматически проводит анализ характера и параметров устройства, окружения,
раций одним из элементов, о котором места, времени осуществления операции, поведения клиента и других параме-
необходимо обладать идентифи- тров и выявляет признаки, нетипичные для клиента.
кационной информацией, является
IP-адрес, с которого клиент получает
доступ к системе дистанционного На основе правил и машинного обучения антифрод-система формирует готовые
обслуживания. инциденты по связанным устройствам, задействованным в кросс-организацион-
ных и международных схемах отмывания денежных средств.
• Осуществлять предварительную
проверку устройства на предмет Глобальная база IP-адресов «Лаборатории Касперского» определяет связь кон-
наличия вредоносного ПО. При кретного адреса с мошеннической активностью. Если таковая осуществлялась,
обнаружении вредоносного кода адрес помечается как подозрительный и соответствующая информация переда-
необходимо предотвратить его даль- ется в банковские системы мониторинга.
нейшее распространение и устранить
последствия его воздействия.
Наличие вредоносного кода или банковского трояна пользователя является
• Внедрить механизмы для обнару- высоким уровнем риска для оценки сессии клиента, так как подобное ПО может
жения мошеннических платежей использоваться для подмены действий авторизованного пользователя – перехва-
с возможностью загрузки фидов, та кодов в SMS-сообщениях и push-уведомлений, подмены платёжных поручений
полученных от ФинЦЕРТ. и пр. Kaspersky Fraud Prevention включает передовые запатентованные техноло-
гии, позволяющие распознать различные виды вредоносного ПО для финансовых
• Уведомлять Банк России обо всех систем, фишинг, поддельные приложения, а также обеспечивает безопасное
выявленных и потенциально готовя-
щихся инцидентах, мошеннических
соединение и сохранность данных.
аккаунтах и устройствах, связанных
с нарушением требований к обе- В случае обнаружения вредоносного кода Kaspersky Fraud Prevention в режиме
спечению защиты информации при реального времени передает информацию о его наличии в банковские системы
переводе средств через платёжную через API или отображает веб-консоли.
систему Банка России, в том числе
о несанкционированных переводах Kaspersky Fraud Prevention позволяет обнаруживать мошенническую активность
денежных средств. в приложениях веб- и мобильного банкинга, в том числе компрометацию, перере-
гистрацию учётной записи и участие устройства в отмывании денежных средств.
• Анализировать факты получения
лицами, выступающими от имени В решении реализована возможность загрузки «чёрных» списков мошеннических
клиента (далее – представители), идентификаторов устройств, IP-адресов, номеров SIM-карт, полученных из других
криптографических ключей и ау- ресурсов, в том числе и от ФинЦЕРТ.
тентификационной информации для
доступа в системы ДБО на предмет Сегодня обсуждается вопрос сбора более подробной информации об устрой-
выявления случаев представления ствах пользователей при работе с ДБО. Расширенный отпечаток устройства
такими лицами интересов других Kaspersky Fraud Prevention содержит более 100 уникальных параметров для
клиентов, в том числе тех клиентов, веб-приложения и около 140 для мобильных устройств, обеспечивая полноту
счета которых были закрыты в рамках
собираемой информации. Все данные не являются персональными согласно рос-
реализации «противолегализацион-
ных» мероприятий. сийской классификации. 2

2
Выдержки из основных регулирующих документов
(Основные документы: 115-ФЗ; 161-ФЗ, 167-ФЗ, 375-П; 382-П; ГОСТ Р 57580.1-2017)

5
Общая статистика на основе данных
Kaspersky Fraud Prevention
Отчёт о мошенничестве Kaspersky Fraud Prevention основан на инцидентах, связанных с кибер-
преступностью, и данных, обнаруженных Kaspersky Fraud Prevention с января по декабрь 2019 года
посредством тщательного анализа поведения потребителей. В данном отчёте мы приведем примеры
основных угроз, с которыми сталкиваются компании, проанализируем современные тенденции
кибермошенничества с акцентом на проблемах кибербезопасности для банковского сектора и элек-
тронной коммерции, а также продемонстрируем наши основные выводы.

Kaspersky Fraud Prevention, работая в режиме реального времени,

обрабатывает трафик по следующим параметрам:

Название Количество уникальных

метрики единиц в сутки
Устройство ~ 50 млн
Пользователь ~ 29 млн
Онлайн-сессия ~ 332 млн
Обработанное событие ~ 6 млрд

Risk-Based Authentication –
метод аутентификации, основанный
Инциденты, сформированные Вердикты Risk-Based
на оценке различных свойств Kaspersky Fraud Prevention Authentication
и параметров онлайн-сессии
пользователя и устройства,
с которого осуществляется
доступ.

Заражённое устройство Красный

63% (высокий риск мошенничества)
1,95%
Скомпрометированная учётная
запись Серый
34% (недостаточно информации,
умеренный риск мошенничества)
Отмывание денежных средств 16,21%
3%
Зелёный
Средства автоматизации (легитимный пользователь)
0,39% 82%

Мошенническая учётная запись

0,14%

6
Анализ событий сессии Анализ устройства и окружения
с помощью технологий
Kaspersky Fraud Prevention
Использует глобальное присутствие Лаборатории Касперского, чтобы
идентифицировать «хорошие» устройства и использовать эти данные для ау-
тентификации пользователя. На основании глобальной репутации устройств,
IP-адресов, геолокационных показателей и других данных любой атрибут,
некогда вовлечённый в мошеннические действия, проактивно обнаруживается
и отображается как подозрительный или относящийся к фроду.

Поведенческий анализ

Исследует, что пользователь нажимает, как он ведет себя во время входа в личный
кабинет и всей сессии. Также рассматриваются типичные элементы навигации,
временные показатели и другие аспекты. Это позволяет сформировать профиль
нормального, легитимного поведения и на ранней стадии выявлять любую ано-
мальную или подозрительную активность даже на стадии логина.

Поведенческая биометрия

Анализирует различные виды взаимодействия пользователя с устройством,

такие как движения мыши, нажатия, скроллы, прикосновения, движения по
экрану устройства и т. д., чтобы определить, используется ли это устройство ле-
гитимным пользователем или злоумышленником, человеком или машиной. Эта
технология позволяет выявлять ботов, средства удаленного администрирова-
ния, а также случаи кражи учётной записи.

Обнаружение вредоносных программ

Позволяет без установки дополнительных компонентов определить, заражена

ли машина пользователя вредоносным ПО. Данные о возможном заражении
используются для Аутентификации на основе риска (RBA), а также для опреде-
ления легитимности транзакций.

7
Тенденции кибермошенничества
в 2019 году
Общие тенденции в сфере цифрового мошенничества в 2019 году остались прежними. Мошенники
всё так же нацелены на похищение денежных средств посредством кражи учётных записей пользо-
вателей, по-прежнему используют в своих целях программы лояльности, находя лазейки в акциях
и распродажах, и используют цифровые каналы обслуживания для отмывания денежных средств.

?
?

Однако появились и новые тенденции. Это касается в том числе инструментария

и методов, которые мошенники активно берут на вооружение. Мы расскажем вам
о «новинках», с которыми нам пришлось столкнуться в ходе борьбы с цифровым
мошенничеством в 2019 году.

8
 Наступил век «бото-человека»
Мошенники начали использовать тонкие настройки поведения ботов, что делает
их совсем неотличимыми от людей. Если раньше компьютерным программам
предписывалось следовать из пункта А в пункт В, то усовершенствованные боты
отклоняются от прямой линии, «трясут» мышкой и показывают свойственную
людям скорость передвижения курсора. С их помощью можно массово скупать
билеты на спортивные турниры или обогащаться за счёт программ лояльности
интернет-магазинов. С появлением очеловеченных ботов специалисты вынуждены
искать новые способы защиты от мошеннических схем с их участием.

Простые боты, которые раньше использовались злоумышленниками для различных

мошеннических схем и легко ловились программами для обеспечения кибербезо-
пасности, стали по своему цифровому поведению практически неотличимы от людей.
Пример сессии человека на рис. 1.

Боты, которые мы наблюдали пять лет назад, когда только появилась пассивная био-
метрия, намного примитивнее нынешних: раньше они просто перемещались из точки
А в точку В.

9
 Простой бот, исполняющий заданный сценарий выполнения действий А  В  С,
при этом между шагами возвращается в исходную точку с координатами x = 0
и y = 0, подобно возврату каретки печатной машинки.

Результат работы подобного бота представлен на рис. 2.

Пример более продвинутого исполнения сценария приведен на рис. 3. В данном слу-

чае бот исполняет заданный сценарий без возврата в исходную точку.

10
 Теперь же появилось множество настроек – например, характеристика силы
притяжения курсора. Указывается не только скорость перемещёния, но и степень
отклонения от прямой, а также замедление движения в некоторых точках Таким об-
разом, у злоумышленников появилась возможность тонкой настройки поведения
ботов, которые, как известно, могут применяться как для помощи пользователям,
так и во вред им.

На рис. 4 отображено поведение мыши во время сессии бота, а на рис. 5 мы видим

типичное поведение во время сессии реального человека.

11
 На рис. 6 приведён интерфейс для настройки бота 4-го поколения. Красной рамкой
выделены настройки «Скорость», «Гравитация» и «Отклонение», которые использу-
ются с целью имитации поведения рядового пользователя.

Хороший – плохой – злой

Кроме того, многие компании пытаются на основе данных пассивной биометрии
тестировать свои приложения и гаджеты, чтобы предсказать покупательский спрос.

– Эти технологии (боты 4-го поколения – прим.ред.) уже начали использовать-

ся, – отметил руководитель направления исследований и разработки экспертного
центра безопасности Positive Technologies (PT Expert Security Center) Алексей
Гончаров. – Например, в T-Mobile создали специализированного робота, который
может моделировать поведение потенциальных покупателей гаджетов, и исполь-
зуют его для тестирования приложений и функций мобильных устройств таким
образом, чтобы предлагать своим клиентам то, чем они будут пользоваться чаще и
с большим удовольствием. Схожей технологией, к примеру, воспользовались и раз-
работчики так называемого роботизированного пальца, эмулирующего поведение
человека. Наличие технологий как таковых создает возможность и создания ботов,
и применения их злоумышленниками.

И мошенники уже начали использовать эту возможность. Если раньше специалисты

по информационной безопасности легко идентифицировали ботов по мгновенному
перемещению и оптимальной траектории, то усовершенствованные программы
учитывают и тряску рук, и «пляшущий» угол наклона телефона, и замедления в неко-
торых сегментах экрана компьютера.

263,77% – увеличение использования С помощью такого очеловеченного бота можно скупить билеты на олимпиады и
средств автоматизации чемпионаты мира по футболу для последующей перепродажи, заполучить и из-
в мошеннических сессиях расходовать чужие мили для бесплатных путешествий авиатранспортом, а чаще –
просто обогатиться за счёт программ лояльности разных интернет-магазинов.

Если такая программа предполагает начисление 1 тыс. баллов за то, что пользова-
тель интернет-магазина приводит друга, то миллион ботов могут превратить эту
программу лояльности в успешное средство для обогащения. <…>

Специалисты предлагают свой алгоритм защиты от очеловеченных ботов.

– Представить себе, что кто-то из злоумышленников будет синтетически создавать

миллионы уникальных программ, невозможно, – пояснил Максим Федюшкин, руко-
водитель направления Kaspersky Fraud Prevention. – Злоумышленник может создать
сто таких устройств, но всё-таки не миллионы. Поэтому мы сейчас смотрим на
характер поведения не только отдельного бота, но и массы пользователей.

12
 Однако оптимальная защита, как считают все опрошенные эксперты, должна стро-
иться на отслеживании и других показателей, в частности уникальности устройства,
IP-адреса и навигации.3

Вышеописанный тренд пришел вместе с четвёртым поколением ботов. Первые

поколения ботов стали работать на базе таких «скрапинг»-инструментов, как
ScreamingFrog и DeepCrawl. Как правило, они происходят из центров обработки
данных и используют прокси-IP-адреса. Поскольку они не поддерживают файл
Cookie и не справляются с задачами JavaScript, их легко обнаруживать и легко вно-
сить в чёрный список связанные с ними IP-адреса и User Agent.

Вышеуказанные проблемы были решены со вторым поколением ботов, которые

стали способны сохранять cookie-файлы и выполнять «челленджи» JavaScript. Они
функционируют через «headless»-браузеры (PhantomJS или SimpleBrowser, напри-
мер). Способ обнаружения: характеристика устройства и браузера. Блокируется
на основе «отпечатка».

Также одним из методов детектирования ботов четвёртого поколения является

анализ трафика на предмет аномальных отклонений. Выявленные отклонения могут
свидетельствовать о возможных атаках, например, попытке кражи учётной записи.

Unsupervised UEBA (User and Как трафик «видят» стандартные системы? (рис. 7) Исходя из полученной информа-
Entity Behavior Analytics) ции по сессиям, пользователям и устройствам, компании:
как один из методов анализа • оценивают посещаемость;
• оценивают конверсию;
трафика на предмет аномалий • оценивают отдачу от акций и распродаж;
• анализируют целевую аудиторию;
• планируют запуск новых программ.

Однако отражает ли этот трафик реальную ситуацию? Можно ли точно знать,

что это были настоящие пользователи и лояльные клиенты?

На рис. 8 представлен анализ данного трафика с точки зрения выявления в нём

синтетики.

Всё выделенное является неорганическим трафиком, то есть это не настоящие

пользователи, лояльные клиенты или целевая аудитория – это мошенники, которые
наживаются на программах лояльности, онлайн кредитовании либо других цифро-
вых услугах.

Данный анализ можно осуществить за счёт анализа поведения сущностей, с приме-

нением машинного обучения без учителя (Unsupervised machine learning).

3
https://kas.pr/kf4a

13
 Ожидается, что в будущем боты будут ещё больше функционировать на базе ис-
кусственного интеллекта. Это означает, что в подобной гонке вооружений будущее
за алгоритмами детектирования, имеющими в основе своего функционирования
искусственный интеллект, в частности технологии машинного обучения.

В данный момент подход Kaspersky Fraud Prevention, опираясь на непрерывный ана-

лиз сессионных аномалий и событий, а также на анализ поведенческих паттернов
в связке с данными окружения и устройства, позволяет эффективно обнаруживать
ботов 4-го поколения.

Цифровые отпечатки
Современные антифрод-системы противостоят мошенничеству в интернете,
Для анализа может быть максимально используя информацию о пользователе и его устройстве. Цель –
использована следующая система должна выявить компрометацию учётной записи. Чтобы отличить мошен-
информация: ника от добропорядочного покупателя, система в том числе проверяет «цифровой
отпечаток» устройства пользователя и его поведение. Если в полученной инфор-
• IP-адрес (внешний и локальный); мации не будет выявлено критичных аномалий, то система не будет бить тревогу.
• информация об экране (разре-
шение, размер окон); Всего для выявления аномалий и мошенничества с учётной записью, с которой
• версия прошивки; пользователь заходит в онлайн-магазин или платёжную систему, может быть со-
• версия операционной системы; брано и обработано более ста атрибутов по одному устройству.
• установленные в браузере
расширения; В разных видах бизнеса применение «цифрового двойника» может привести
• часовой пояс; к повышению случаев успешного мошенничества. Если пользовательская сессия
• идентификатор устройства; под руководством мошенника будет считаться легитимной и действия пользова-
• информация об аккумуляторе; теля (например, попытка оплатить кредитной картой товар) не будут подвергнуты
• данные об аудиосистеме; дополнительным проверкам, злоумышленник сможет беспрепятственно вывести
• информация о GPU; денежные средства.
• данные анализа пакетов TCP/IP;
• данные пассивного анализа В случае же электронной торговли рынки «цифровых двойников» и «конфиг-шопы»
SSL/TLS-трафика; (онлайн-магазины конфигурационных файлов) могут увеличить заработок мошен-
• cookie-файлы; ников на программах лояльности за счёт того, что мошенникам становится проще
• пассивная биометрия; прятать результаты своих трудов. На рис.9 мы видим кластер, выявленный антиф-
• навигационный анализ; род-системой, в случае, когда мошенники не использовали цифровых двойников.
• прочая информация. Результат использования программного обеспечения, поставляющего цифровых
двойников представлен на рис. 10.

14
10

Как можно заметить из вышепредставленных примеров, применение цифровых

двойников позволяет уменьшить аномальный кластер.

Программное обеспечение,
поставляющее цифровых двойников
Одним из самых неприятных моментов является то, что один экземпляр «цифрово-
го двойника» упрощает доступ сразу нескольким онлайн-ресурсам (см. изображе-
ние рынка Genesis на рис. 11).

Одним из примеров магазина по поставке «цифровых двойников» можно назвать

ресурс Genesis.

11

15
Genesis – Эксперты говорят, что рынок Genesis, который впервые появился в ноябре 2017 года,
это частный онлайн-магазин с доступом продолжает оставаться основным поставщиком украденных цифровых данных
только по приглашениям, где можно купить отпечатков. Сайт продает доступ к отдельным ботам, имея в виду не массивные бот-
украденные цифровые профили. Сейчас неты, а отдельные конечные точки, зараженные вредоносным ПО. В своем дебюте
здесь выставлено на продажу более компания утверждала, что может избежать мер по борьбе с мошенничеством, ис-
60 тыс. так называемых ботов. Такой бот пользуемых многими крупными банками и платёжными системами. В зависимости от
может включать цифровой отпечаток содержания данных цены на «цифровой отпечаток» могут достигать 200 долларов.
устройства (браузера), имена и пароли
пользователей на различных сайтах, фай- В целях удобства был создан плагин для браузера – Genesis Application, с помощью
лы cookies, реквизиты банковских карт. которого мошенник, купивший отпечаток, может воссоздать онлайн «личность»
владельца данных.

Помимо поставки краденых «цифровых отпечатков» устройств реальных пользо-

вателей, сервис Genesis предоставляет возможность создания новых уникальных
отпечатков. Для этого применяются свои алгоритмы и плагин для генерации произ-
вольных цифровых профилей, с которыми можно, например, ввести данные украден-
ной банковской карты в онлайн-магазине. Уникальный «отпечаток» браузера будет
настроен так, чтобы не вызвать подозрений у защитных систем. Также данные уни-
кальные отпечатки позволяют обойти решения сессионного «фрод-мониторинга»
в целях создания синтетических учётных записей (функциональность по созданию
уникального «цифрового отпечатка» представлена на рис. 12).

12

Ещё один инструмент, который мошенники используют для обхода защитных

решений, – браузер Tenebris Linken Sphere (рис. 13). Разработчики позициони-
руют его как рабочий инструмент для тех, кто стремится к анонимности, однако
по факту он используется для кардинга. В отличие от плагина Genesis, Sphere не
поставляет краденые «цифровые отпечатки», подходящие под конкретные учёт-
ные записи. Это полнофункциональный браузер с расширенными возможностями
создания новых «цифровых отпечатков», автоматической проверкой прокси-сер-
веров и т. д.

В отличие от Genesis, Sphere (рис. 14) предоставляется по подписке. Месяц ис-

пользования браузера стоит 100 долларов США, а с доступом к готовому набору
уникальных «цифровых отпечатков» цена возрастает до 500 долларов.4

4
Онлайн-магазин конфигурационных файлов Linken Sphere

16
13

14

17
 Ещё один ресурс, предоставляющий «цифровые отпечатки», – FingerprintSwitcher
(рис.15). Принцип его работы схож с Linken Sphere и Genesis в части создания
уникального «цифрового отпечатка». Цель применения всё та же – создание синте-
тических учётных записей.

Создатели FingerprintSwitcher рекомендуют выполнять проверку применения

нового «цифрового отпечатка» с помощью инструмента Fake vision (поставщики
браузера Tenebris). Дополнительно разработчики FingerprintSwitcher предлагают
инструмент FingerprintDetector, который позволяет перед атакой произвести
проверку на предмет наличия защиты онлайн-ресурса с применением решений
сессионного антифрода. На рис. 16 демонстрируются возможности получения слу-
чайного отпечатка в FingerprintSwitcher, а на рис. 17 – список свойств, доступных
для изменения отпечатка браузера в FingerprintDetector.

15

16

17

18
Сводная информация* Поставщик Genesis Tenebris Bas

Решение Genesis Linken Sphere Fingerprintswitcher

Application

Рынок USA USA, EU RU

Степень готовности Готово, Готово, Готово

стабильно нестабильно

Поставка Плагин для Браузер Является дополни-

браузера с возможностью тельным модулем
настройки для средства
«сессий» автоматизации

Фичи Поставка Поставка Генератор

краденых реальных отпечатков
отпечатков отпечатков
Генератор Генератор
отпечатков отпечатков

Цель ATO, ML, NAF ML, NAF ML, NAF

ATO
(с англ. "Account Takeover") –
взлом учётной записи пользователя Количество слепков 60 000 300 50 000

ML
(с англ. "Money Laundering") – Позиционирование – Анонимизация Автоматизация
отмывание денежных средств
Цена $60+ $500 за полгода $40 за 3 месяца
NAF
(с англ. - "New Account Fraud") – (некоторые $3 за реальный
создание синтетических учётных $200+) слепок
записей с целью мошенничества

Однако 2019 год можно назвать годом, в котором мошенники сделали очередной
шаг в совершенствовании своих инструментов.

Но как бы мошенники ни старались, решение Kaspersky Fraud Prevention может вы-

явить попытки использования цифрового двойника за счёт стандартных логических
правил (нужны экспертные знания для настройки), а также за счёт дополнительного
технологического подхода.

Социальная инженерия
Цифровая кража мобильного устройства
(RAT: TeamViewer, AnyDesc)
Одной из наиболее распространённых схем мошенничества в 2019 году было
использование приложений со средствами удалённого доступа. При проведении
такой атаки пользователи полагают, что им звонит сотрудник банка с предло-
жением помочь уменьшить расходы на обслуживание карты или сообщает о
попытке взлома аккаунта. Далее клиенту предлагается установить на мобильное
устройство приложение, которое позволит мошеннику получить удалённый доступ
к устройству.

После того, как пользователь установил приложение на свое мобильное устрой-

ство, кибермошенник получает доступ ко всем возможностям учётной записи
пользователя. Он может переводить и снимать средства, изменять данные учётной
записи, похищать личные данные с целью их дальнейшей продажи, подавать заявки
на кредиты и многое другое.

* https://kas.pr/u22d

19
Также нами было произведено исследование основных приложений, которые ис-
пользовались мошенниками в 2019 году. Как можно видеть из таблицы, мошенники
предпочитают такие приложения, как AnyDesk, Team Viewer, AirDroid и AhMyth для
удалённого управления устройствами пользователей с версиями Android 7.1 – 10.0.
Ярко-зелёным цветом выделены случаи, в которых возможен просмотр и удалён-
ное управление экраном пользователя, светло-зелёным – когда доступно зеркали-
рование (просмотр) экрана.

Brand Model Android OS AnyDesk Team Viewer

Xiaomi Redmi 5 7,1

Xiaomi MIX 9,0

Xiaomi Redmi Go 8,1

Xiaomi MI9 9,0

Xiaomi Redmi 4 7,1

Xiaomi Redmi Note 5 7,1

Xiaomi Redmi Note 5 8,0

Xiaomi MIX 2S 10,0

Xiaomi Redmi Note 3 Pro 10,0

Sony XPERIA XA Dual 9,0

Samsung S9 9,0

Samsung Note 9 8,1

Samsung Note 9 9,0

Samsung Galaxy S7 Edge 10,0

Samsung S8 9,0

OnePlus 7 Pro 10,0

OnePlus 6 9,0

LG Nexus 5X 7,1

LG Nexus 5X 8,0

Huawey Honor X 9,0

Google Pixel 9,0

Elephone M2 8,1

Elephone M2 9,0

Doogee X9 mini 9,0

Вероятность получения мошенником удалённого доступа к устройству крайне ве-

лика, поскольку приложения AnyDesk и Team Viewer дают возможность просмотра
пользовательского экрана на всех исследованных устройствах. Анализ резуль-
татов нашего исследования показал, что в 48% случаев мошенник с лёгкостью
получает доступ к устройству пользователя.

Для лучшего понимания масштабов атаки можно привести пример одного из бан-
ков, где Kaspersky Fraud Prevention выявил более 3000 пользовательских сессий
в месяц с применением инструментов удалённого администрирования. Kaspersky
Fraud Prevention обнаруживает подозрительные действия пользователя и вовремя
оповещает о попытках мошенничества банки и другие платформы предоставления
услуг и товаров онлайн.

20
 Получение доверия при помощи
интерактивного голосового меню (IVR)
Ещё один инструмент, который кажется безвредным, но активно эксплуатиру-
ется мошенниками, – это создание интерактивного голосового меню с целью
получения второго фактора аутентификации. Мошенники аккуратно подбирают
лексику и используют голос робота, чтобы запрос на второй фактор выглядел мак-
симально убедительно и не вызывал у жертвы подозрений. Пользователи зачастую
воспринимают взаимодействие с роботом как более безопасное, чем общение
с человеком. В предзаписанных голосовых сообщениях жертву просят ввести код,
присланный в SMS или push-уведомлении. Как только жертва вводит код в тональ-
ном режиме на телефоне, информация передается на серверы мошенникам, а они
сразу же переводят денежные средства на подконтрольные счета, поскольку срок
действия второго фактора ограничен.

Подмена номеров IP/SIP-телефонии

Согласно статистике, практически Помимо RAT и IVR, мошенники хорошо освоили схему с подменой номеров для
каждый десятый россиянин (9%) потерял входящих звонков. При этом зачастую осуществляется не полная подмена номера
крупную сумму денег в результате теле-
мошенников на банковский, а лишь частичная, либо подмена на красивый номер.
фонного мошенничества.*
К сожалению, сами финансовые институты приучили своих клиентов к тому, что им
могут звонить с различных номеров и представляться сотрудниками финансового
учреждения. К примеру, это может быть поддержка эквайринга или служба дистан-
ционного взыскания долгов (soft collection). Эта практика играет на руку мошен-
никам, поскольку в результате клиенты финансовых организаций не воспринимают
звонки с неизвестных номеров как подозрительные или представляющие угрозу.

* Данные получены в результате исследования,

проведённого в июне 2019 года компанией
OMI по заказу «Лаборатории Касперского».
В ходе исследования было опрошено
1000 россиян.

21
 Работа под легендой: «Спасатель» и «Инвестор»
как виды социальной инженерии

В 2019 году мошенники в основном

использовали 2 легенды для
получения доверия своих жертв:
«Спасатель» и «Инвестор».

Легенда 1 – «Спасатель» Мошенники, которые изображают специалистов по безопасности и разыгрывают

сценарий «спасения» пользователей, именуются «Спасателями». Они звонят
клиентам банка, представляясь сотрудниками службы безопасности, сообщают
о подозрительном списании средств или платеже и предлагают свою помощь.

Для предоставления помощи «спасатели» просят клиента верифицировать себя

через код, отправленный в SMS или push-уведомлении под предлогом верифика-
ции самого клиента, остановки подозрительной операции или перевода денежных
средств на «безопасный счёт».

При отсутствии ожидаемого доверия к «спасателю» со стороны пользователя

мошенники пытаются использовать голосовое меню или удалённое подключение
к устройству для получения второго фактора и доступа к денежным средствам
жертвы. Таким образом, у опытного мошенника наготове несколько инструментов
и сценариев «обработки» жертвы, что значительно повышает вероятность успеш-
ной атаки.

Легенда 2 – «Инвестор» Ещё одна популярная легенда 2019 года – «Инвестор». Мошенники представля-
ются сотрудниками инвестиционной компании или инвестиционными консуль-
тантами банка. Обзванивая его клиентов, они предлагают им быстро заработать
путем инвестирования в криптовалюту либо в акции компаний напрямую со счёта
клиента без дополнительных обращений в отделение банка. Для предоставле-
ния инвестиционной услуги «инвестор» по аналогии со «спасателем» просит
потенциальную жертву сообщить код, присланный в SMS или push-уведомлении.
Инструментарий при этом такой же: IVR, RAT, SIP. Разница лишь в том, откуда
мошенники получают базу данных по клиентам. Сценарий «инвестор» использу-
ется, если потенциальная жертва ранее интересовалась приумножением своих
накоплений.

22
 Отказ от паролей,
или «Passwordless»
Не принимая в расчёт тот факт, что система паролей использовалась ещё в Древ-
нем Риме, можно установить, что именно 1961 год был годом, когда CTSS (открытая
операционная система Compatible Time-Sharing System) от MIT ввела использо-
вание команды Login для запроса пароля. При вводе слова «password» система
также деактивировала отображение печатных элементов с целью сохранить
приватность вводимого пароля.

В данный момент комбинация «логин – пароль» используется в подавляющем

большинстве цифровых платформ: для входа в компьютер, в банковское приложе-
ние, в личный онлайн-кабинет того или иного сервиса и т. д.

Согласно опросу, проведенному фирмой LogMeln, специализирующейся на ме-

неджменте паролей, 59% процентов опрошенных пользователей используют один
и тот же пароль для множества учётных записей. Также выяснилось, что пользо-
ватели придерживаются одного и того же пароля долгое время, до тех пор пока
система или IT-отдел не затребует обновить пароль в целях безопасности.5

С точки зрения безопасности пароль крайне ненадежный метод аутентифика-

ции – нельзя полагаться лишь на него, потому что его можно украсть, угадать или
получить другими способами. Многие компании прибегают к таким методам, как
двухфакторная аутентификация, физические «токены» для верификации и биоме-
трические данные, скан лица, отпечаток пальца.

Если раньше применение паролей казалось логичным и обоснованным, то в

современном мире, где количество онлайн-сервисов растет очень быстро,
использование паролей нерационально, так как запомнить их все крайне пробле-
матично для человека. Это в том числе подтверждается анализом Kaspersky Fraud
Prevention результатов работы технологии клавиатурного почерка. В результате
анализа более 400 млн сессий, 20+ млн уникальных учетных записей пользова-
телей, было выявлено, что всего 10% пользователей осуществляют ввод пароля
вручную.
На основании данных Kaspersky Fraud Большинство использует password manager software либо автозаполнение
Prevention(анализ 400+ млн сессий, браузера. MacBook Pro использует активную биометрию, а не пароль для входа в
20+ млн уникальных «учёток») порядка
10% пользователей вводят пароль
учётную запись. Все вышеперечисленные методы аутентификации представляют
более 3 раз. альтернативу парольной безопасности, однако главная проблема заключается в
том, что так или иначе данные, необходимые для входа в систему, хранятся у поль-
зователя, будь это его отпечаток, «токен» или сохраненный пароль. Человеческий
фактор всегда вызывает вероятность ошибки – именно поэтому вопрос управле-
ния паролями и их запоминания является рецептом против утери личных данных в
современном вечно растущем цифровом пространстве.

Недавно компания Google вместе с FIDO Alliance (миссия которой заключается

в разработке и продвижении стандартов аутентификации, которые помогают
уменьшить чрезмерную зависимость мира от паролей) объявили о поддержке
Android стандарта FIDO2. Это означает, что большая часть устройств, опериру-
ющих на Android 7 и выше, будут поддерживать метод логина без ввода пароля.
Платформа Android ранее поддерживала варианты логина FIDO, например,
с помощью сканера отпечатка мобильного устройства, однако благодаря FIDO2
данные методы можно будет использовать в веб-браузерах Chrome вместо клас-
сического ручного ввода комбинации «логин – пароль».6

Поспевая за трендом, Kaspersky Fraud Prevention предлагает методы беспароль-

ной аутентификации, использующие ввод пин-кода или сканы биометрических
данных устройства. Консоль Kaspersky Fraud Prevention позволяет синхронизиро-
вать доверенное мобильное устройство с учётной записью, после чего вход мож-
но выполнять без ввода пароля, с помощью считывателей биометрических данных
мобильного устройства: отпечатка пальца, сканирования лица. Безопасность по-
добной аутентификации завязана на анализе рисков обоих устройств – телефона
и компьютера, с которого происходит вход в личный кабинет.

5
https://kas.pr/h6w7
6
https://kas.pr/x45z

23
 Мобильные угрозы
для финансовых учреждений
Банковские троянцы Количество обнаруженных установочных пакетов мобильных банковских троянцев
составило 69 777 в 2019 году, что в два раза меньше, чем в 2018.
За отчётный период 2019 года вирусные
аналитики «Лаборатории Касперского» Несмотря на это, доля банковских троянцев в составе всех обнаруженных мобиль-
обнаружили 69 777 «установочных» паке- ных угроз в 2019 году незначительно увеличилась, что можно связать с тем, что ак-
тов для мобильных банковских троянов. тивность вирусописателей других семейств и классов зловредного ПО снизилась.

Основными векторами распространения угроз, ориентированных на кражу личных

данных, продолжают оставаться:

• вредоносные мобильные приложения, интерфейс для которых вирусописатели

скопировали с оригинальных приложений банков и разместили их в магазине
приложений Google Play;
• социальная инженерия;
• фишинговые ссылки в мессенджерах и интернете;
• троянцы, занимающиеся рассылкой самих себя или других троянцев по списку
контактов заражённого устройства.

TOП-10 семейств по доле

Семейство %
пользователей, атакованных
мобильными банкерами, среди Trojan-Banker.AndroidOS Asacub 44,4
всех атакованных банковскими
троянцами пользователей Trojan-Banker.AndroidOS Svpeng 22,4
в 2019 году
Trojan-Banker.AndroidOS Agent 19,06
Trojan-Banker.AndroidOS Faketoken 12,02
Trojan-Banker.AndroidOS Hqwar 3,75
Trojan-Banker.AndroidOS Anubis 2,72
Trojan-Banker.AndroidOS Marcher 2,07
Trojan-Banker.AndroidOS Rotexy 1,46
Trojan-Banker.AndroidOS Gugi 1,34
Trojan-Banker.AndroidOS Regon 1,01

В 2019 году впервые появился образец мобильного финансового вредоносного

ПО с повышенной автоматизацией. Эта троянская программа называется Trojan-
Banker.AndroidOS.Gustuff.a. Киберпреступление в виде кражи денежных средств
осуществлялось с помощью манипуляций с мобильным приложением банка. Опас-
ность данного троянца заключается в том, что он самостоятельно осуществляет
перевод денежных средств, для чего он взаимодействует с интерфейсом банков-
ского приложения.

Этапы атаки с помощью

Trojan-Banker.AndroidOS.Gustuff.a
1. После заражения троянец вынуждал жертву запустить легитимное банковское
приложение. Это осуществлялось с помощью отображения поддельных push-у-
ведомлений от имени банка.

2. После того как жертва запускала и разблокировала настоящее приложение бан-

ка, троянец получал полный контроль над ним.

3. Заключительным этапом атаки являлось нажатие кнопок и заполнение форм

ввода, необходимых для осуществления денежных переводов. Поразительно, но
эти действия троянец осуществлял автоматически без какого-либо контроля со
стороны киберпреступников.

Стоит отметить то, что данные операции стали возможны исключительно благо-
даря Accessibility Services в Android (они были созданы разработчиками Android
для помощи людям с инвалидностью), с помощью которых одно приложение может
активно взаимодействовать с интерфейсом другого.

24
 Криминальные группировки,
специализирующиеся на атаках
на банковский сектор
FIN7 По факту количество групп, действующих по тому же шаблону, что FIN7
и CobaltGoblin, выросло: сейчас в мире существует несколько взаимосвязанных
В 2018 Европол и Министерство юстиции преступных организаций, использующих очень схожий программный арсенал
США заявили об аресте лидера кибер- и идентичную инфраструктуру.
преступных группировок FIN7 и Carbanak/
CobaltGoblin. Некоторые полагали, что
этот арест станет серьезным ударом по Первая упомянутая группа — получившая широкую известность FIN7, специализи-
деятельности злоумышленников, однако рующаяся на атаках различных компаний с целью получения доступа к их финансо-
эти надежды не оправдались. вым данным и POS-инфраструктуре. Эти мошенники используют JScript-бэкдор
Griffon, Cobalt/Meterpreter, а в самых недавних атаках — ещё и PowerShell Empire.

Вторая группировка известна как CobaltGoblin/Carbanak/EmpireMonkey. Она ис-

пользует тот же инструментарий, те же методы и схожую инфраструктуру, но
атакует только финансовые учреждения и обслуживающих их поставщиков про-
граммного обеспечения и услуг.

Последняя такая группа — недавно обнаруженная организация CopyPaste, которая

атаковала финансовые учреждения и компании в одной из стран Африки. Мы пола-
гаем, что эта группировка связана с кибернаемниками или неким учебным центром.
Пока что нет убедительных доказательств связи между CopyPaste и FIN7. Есть
вероятность, что лица, ответственные за эти кибератаки, просто разработали свои
методы на основе общедоступных материалов и в реальности не связаны с FIN7.

Лакомым кусочком для перечисленных групп являются непропатченные системы

в корпоративных сетях. Они продолжают эффективно проводить целевые фишинг­
атаки и применять известные эксплойты для Microsoft Office. Эксплойты «нулевого
дня» кибермошенники пока не использовали. Фишинговые схемы FIN7/Cobalt
могут показаться простыми, но в сочетании с масштабными целевыми атаками
с применением методов социальной инженерии эффективность таких приёмов
оказывается довольно высокой.

В середине 2019 года FIN7 залегла на дно, но в конце года снова заявила о себе,
осуществив новые атаки с использованием новых инструментов. Мы подозреваем,
что период бездействия группировки был связан с отключением их инфраструкту-
ры в связи с закрытием в Восточной Европе bulletproof-хостинга.

В отличие от FIN7, активность Cobalt Goblin Group оставалась на стабильном

уровне на протяжении всего года, что стало ещё одним подтверждением того, что
эти группы взаимосвязаны, но действуют независимо друг от друга. Несмотря на
то что их инструментарий и приемы очень схожи, группы действуют сами по себе
и лишь в редких случаях используют некоторые общие элементы инфраструк-
туры. В то же время интенсивность атак, по сравнению с 2018 годом, несколько
снизилась. Тактика Cobalt Goblin осталась прежней: группировка использует до-
кументы с эксплойтом, который сначала внедряет в систему небольшой загрузчик,
а затем — вредоносное вложение Cobalt. Как и прежде, злоумышленники атакуют
небольшие банки в разных странах. Вероятно, сокращение количества атак
обусловлено диверсификацией: есть основания предполагать, что группа также
занимается перехватом JavaScript (атаки MageCart) с целью получения данных
платёжных карт напрямую с веб-сайтов.

В этом году мошенники часто прибегали к этому приему, и мы обнаружили не-

сколько тысяч торговых онлайн-площадок, зараженных их вредоносным кодом.
Выявленные скрипты работают по разным принципам, инфраструктура злоумыш-
ленников также различается. Это наводит на мысль, что по меньшей мере десяток
групп проводит подобные атаки.

Группировка Silence на протяжении года активно расширяла сферу своей деятель-

ности, распространив ее на разные страны. Мы зафиксировали атаки в регионах,
где никогда раньше их не наблюдали. В частности, были зарегистрированы
инциденты в Юго-Восточной Азии и Латинской Америке. Это указывает на то,
что Silence либо расширила свою операционную базу, либо начала сотрудничать
с региональными киберпреступными группировками. Однако если проследить за
развитием их основного бэкдора, становится очевидно, что за последние два года
используемые ими технологии практически не изменились.

25
Интересные случаи мошенничества,
обнаруженные Kaspersky Fraud
Prevention
Использование SIM-карт
для мошенничества
Одним из наиболее распространённых Этот вид мошенничества стал возможен благодаря тому, что для получения карты
случаев социальной инженерии, нет необходимости в физическом присутствии пользователя, а также существуют
обнаруженных Kaspersky Fraud автоматы выдачи, с помощью которых можно с лёгкостью перевыпустить карту. Таким
Prevention в регионе Латинской образом, злоумышленники получают возможность массово перехватывать второй
Америки, является повторная выдача
фактор аутентификации клиента банка и, получив доступ к онлайн-сервису, перечис-
SIM-карт.
лять деньги из личного кабинета пользователя на свой счёт.

Мы обнаружили, что некоторые процессы, используемые операторами мобильной

связи, являются слабыми и оставляют клиентов открытыми для атак с заменой SIM-
карт. Например, на некоторых рынках для подтверждения вашей личности оператор
может запросить некоторую основную информацию, такую как полное имя, дата
рождения, сумма последнего ваучера на пополнение счёта, последние пять набран-
ных номеров и т. д. Мошенники могут найти часть этой информации в социальных
сетях или с помощью приложений, таких как TrueCaller, чтобы получить имя вызыва-
ющего абонента на основе номера. С помощью социальной инженерии они также
пытаются угадать сумму пополнения, основываясь на том, что является более попу-
лярным на местном рынке. А как насчёт последних пяти звонков? В качестве одного
из методов мошенники используют несколько «пропущенных вызовов» или отправку
SMS-сообщений на номера жертв как приманку, чтобы они перезванивали.

Иногда целью является телекоммуникационный провайдер, а не клиент. Это проис-

ходит в случаях, когда сотрудники перевозчика, работающие в филиалах в небольших
городах, не могут идентифицировать поддельный или фальсифицированный документ,
особенно в филиалах, расположенных в киосках или торговых центрах, что позволяет
мошеннику с лёгкостью активировать новую SIM-карту. Другая большая проблема –
инсайдеры в компаниях: некоторые кибермошенники вербуют коррумпированных со-
трудников, выплачивая им от 10 до 15 долларов за активированную SIM-карту. Наихуд-
шие атаки происходят, когда мошенник отправляет фишинговое электронное письмо
с целью кражи учётных данных системы оператора. По иронии судьбы большинство
этих систем не используют двухфакторную аутентификацию. Иногда целью таких пи-
сем является установка вредоносного программного обеспечения в сети оператора.
Всё, что нужно мошеннику, – лишь одно удостоверение, даже из филиала небольшого
города, чтобы предоставить им доступ к системе оператора.

Данная схема стала настолько распространённой, что многие мошенники начинают

предлагать ее в качестве услуг на мошеннических форумах и онлайн-порталах. Цена
перевыпуска SIM-карты зависит от компании-провайдера и статуса человека, на кото-
рого заказана данная услуга. Ниже вы можете видеть результаты исследования, прове-
денного на одном из форумов, со средней ценой взлома SIM-карты. Стоимость одного
взлома в среднем не превышает $40 и открывает доступ ко многим онлайн-сервисам,
которыми может пользоваться клиент. Учитывая, что большинство мошенников ищут
лёгкой добычи, это можно назвать достаточно простой и выгодной схемой.

Провайдер А Провайдер B Провайдер C Провайдер D Провайдер E

$10 $15 $20 $25 $40

Kaspersky Fraud Prevention позволяет заранее обнаруживать случаи повторной выда-

чи SIM-карты на учётных записях удалённых банковских служб с помощью технологий
машинного обучения или анализа устройства и среды, механизма кластеризации
устройств и IP-адресов для конкретного пользователя и технологии device fingerprint.

26
 Страна* %** В Топ-10 стран с наибольшей долей пользователей, атакованных финансовыми вре-
доносными программами, на первом месте оказались Китай и Беларусь (2,3%), затем
Китай 2,30 Венесуэла (2,2%) и Южная Корея (2,1 %).
Беларусь 2,30

Венесуэла 2,20
Использование городской
Южная Корея 2,10
инфраструктуры
Сербия 1,80

Греция 1,70 Публичный доступ в интернет раньше можно было найти в аэропортах, отелях
Камерун 1,60 и крупных сетевых кофейнях. Сегодня даже городские парки, автобусы и метро дают
возможность людям подключаться к общественному Wi-Fi. Для мошенников это акту-
Индонезия 1,50 ально с точки зрения IP-адреса.
Пакистан 1,50 Важно также упомянуть о сервисах (рис. 18) , предлагающих пользователям одно-
разовые виртуальные номера, где пользователи могут за 1 рубль получить номер
Россия 1,40
для приема верификационного SMS (cервис предоставления виртуального номера
onlinesim.ru).

Это крайне популярный инструмент для мошенников, потому что им даже не нужно
* Страны, в которых число пользователей ре- раскрывать свой номер телефона для подключения к публичной точке доступа Wi-FI.
шений безопасности Kaspersky относительно
невелико (менее 10 000), исключаются из
рейтинга. В случае, обнаруженном Kaspersky Fraud Prevention, мошенник использовал го-
** Доля уникальных пользователей, подвергшихся родскую инфраструктуру (в данном случае сеть Wi-Fi в метро), чтобы скрыть свои
атакам, по отношению ко всем пользователям действия. Однако с помощью анализатора Kaspersky Fraud Prevention была замечена
решений безопасности Kaspersky в стране. мошенническая активность в рамках устройства и диапазона IP-адреса. В среднем
в день с этого устройства заходило около 150 пользователей, все они выполняли
схожие действия: заходили в интернет-магазин, оставляли товар в корзине, получая
промокод впоследствии.

18

27
В таблице отражается количество уни-
Session_
кальных пользователей и их сессий в день Date User_Count ISP
в рамках указанной аномалии. Count
Metropolitan branch of OJSC
2019-06-09 35 38
MegaFon AS25159 31.173.80.0/21

Metropolitan branch of OJSC

2019-06-12 165 166
MegaFon AS25159 31.173.80.0/22

Metropolitan branch of OJSC

2019-06-13 325 329
MegaFon AS25159 31.173.80.0/23

Metropolitan branch of OJSC

2019-06-14 113 113
MegaFon AS25159 31.173.80.0/24

Программы лояльности Welcome fraud

и бонусные баллы –
выгода для мошенников Одним из самых ярких случаев межорганизационного кибермошенничества, раскры-
того в этом году, было обнаружение сети из 3 029 мошеннических аккаунтов. Основная
В 2019 году группа аналитиков Kaspersky цель мошенников – получить бонусные баллы, создавая множество учётных записей
Fraud Prevention обнаружила значитель- на онлайн-портале; мошенники покупали коды для пополнения счёта в игровом мага-
ное увеличение количества мошенниче- зине, а затем реализовывали их онлайн в социальных сетях и маркетплейсах. Мы от-
ства с программами лояльности и бонус- метили, что все мошенники выполняли действия вручную, в результате исследования
ными баллами, уделяя особое внимание мы обнаружили 14 устройств с попытками массового входа (от 10 до 65 уникальных
перепродаже товаров через интернет пользователей). В ходе расследования учётные записи и устройства были объединены
на других веб-сайтах. для анализа активности пользователей и был обнаружен огромный кластер из 11 256
уникальных пользователей.

Ещё один способ мошенничества связан со злоупотреблением приветственными

бонусами в программах лояльности. Схема достаточно проста: мошенники массово
регистрируют учётные записи в маркетплейсе, получают приветственные бонусные
баллы и покупают товары со скидкой по бонусной программе. В одном случае мошен-
ник скупал подгузники и конфеты, а затем с выгодой для себя реализовывал купленные
товары на сайтах Avito и Юла. В дальнейшем созданные учётные записи не использо-
вались, их средний срок жизни составлял 1–2 дня.

28
 Наши руки не для скуки, или
крадём вручную
В одном из крупных онлайн-магазинов электронной коммерции система Kaspersky
Fraud Prevention зарегистрировала увеличение числа пользователей с одного устрой-
ства. Сначала с устройства было зарегистрировано всего четыре учётных записи,
впоследствии стали появляться всё новые и новые, сначала 14, затем 100 и больше.

График эволюции за полтора года отображён на рис. 19.

19
Количество учётных записей

Выделенная группа учётных записей имела схожий паттерн активности в маркетплей-

се. В основном, использовалось 2 учётных записи для мониторинга акций и распро-
даж. Это можно заметить по активности пользовательских сессий данного набора
учётных записей (рис. 20).

29
 Модели движения в течение сеанса для всех пользователей были чрезвычайно похо-
жи. Конечная цель злоумышленников состояла в том, чтобы воспользоваться преиму-
ществами системы бонусов: мошенники помещали товары, в которых они были якобы
заинтересованы, в корзину и никогда не покупали их, ожидая появления промокода
скидки в своем почтовом ящике. Выяснилось, что злоумышленники планировали пере-
распределить продукты и рекламные коды в интернете для получения дохода.

В контексте онлайн-коммерции необходимо также упомянуть об анализе сессий

на предмет необычных явлений, которые на первый взгляд могут не сигнализировать
о мошенничестве. Такие данные полезны не только с точки зрения безопасности
онлайн-сервиса, но также с точки зрения эффективности бизнеса. Информация
о поведении пользователей и об аномальной активности позволит повысить результа-
тивность распродаж, акций и программ лояльности.

20

Количество сессий

Credential Stuffing
Credential stuffing – Регулярная проверка учётных записей становится обычной для цифровых каналов
вид кибератаки, при которой обслуживания. В 2019 году сервис Kaspersky Fraud Prevention регулярно выявлял атаки
злоумышленник, используя украденные с использованием украденных учётных данных. Объем проверок по учёткам обычно
данные, пытается получить доступ небольшой и составляет несколько тысяч на одну атаку, однако в некоторых случаях
к аккаунтам (учётным записям) проверке подвергались десятки тысяч ученых записей.
пользователей путем автоматического
перебора регистрационных данных
(логин/пароль) при попытке авторизации При этом мошенники преследуют несколько целей: валидация учёток для после-
на какой-либо платформе.* дующей перепродажи, сбор дополнительной информации о владельце учётной
записи (номер телефона, адрес и т.д.) для пополнения своей базы дополнительными
сведениями, нанесение финансового ущерба за счёт роста расходов на отправку
второго фактора аутентификации через SMS и, наконец, отказ в обслуживании за счёт
большого количества авторизационных запросов ботнета.

Компаниям, которые сталкиваются с подобными угрозами, необходимо не только

использовать старые и проверенные средства защиты от DDoS, но и сбрасывать пароли
по скомпрометированным учётным записям, а также применять аутентификацию на
основе рисков для предотвращения данного вида атак и сохранения денежных средств.

* https://kas.pr/xq8d

30
 Отмывание денег и мошенничество
в финансовом секторе
Отмывание денег – ещё одна остро стоящая проблема, связанная с предоставлением
финансовых услуг, а также с криптовалютами и обменами. Для сложных схем отмы-
вания денег, которые обычно включают размещёние незаконно полученных средств,
распределение по слоям и интеграцию или снятие денег, мошенники используют
инструменты автоматизации, прокси-серверы, инструменты удалённого администри-
рования и браузеры TOR, чтобы замести следы и остаться анонимнымиили не попасть
в выявленную ранее дроп-сеть. Наша команда аналитиков пришла к выводу, что рост
попыток отмывания денег в 2019 году связан с продолжающимся сокращением ко-
личества банков на территории РФ, с доступностью инструментов мошенничества в
интернете (отмывка и мошенничество как сервис), а также с количеством утечек лич-
ных данных клиентов банков и их распространением в интернете. Попытки отмывания
денег увеличились на 181,5% в 2019 году.

Приведена только часть схемы, иллюстрирующая основной алгоритм «раскрутки»

мошенничества (рис. 21):

• Чёрным отмечены выявленные дроп-аккаунты. В данном случае важно отделить

учетную запись мошенника от учетной записи жертвы. Дроп-аккаунт или пред-
полагемый мошенник может быть выявлен как при помощи решения сессионного
анти-фрода, так и по результатам анализа транзакций совершенных при помощи
данной учетной записи.

• После выявления одного дроп-аккаунта необходимо в обязательном порядке ис-

пользовать возможности и технологии сессионного анти-фрод решения. На схеме
красным отмечены основные элементы, по которым выявлены связанные пользова-
тели дроп-сети на базе данных сессионого анти-фрода.

21

31
 Почему необходимо бороться
с мошенничеством?
К настоящему времени совершенно ясно, что для предотвращения мошеннических
действий, обеспечения сохранности бонусных баллов и безопасности программ
лояльности принципиально необходимо вести мониторинг пользовательской актив-
ности и обнаруживать корреляцию между устройствами и покупателями.

Но насколько важно предпринимать действия для предотвращения мошенничества?

Рассмотрим случаи, когда у клиента установлено решение Kaspersky Fraud Prevention
и результаты его работы используются для противодействия мошенничеству. Для это-
го можно обратиться к нижеприведенному мошенническому кластеру, типичному
для данного клиента (рис. 22). Можно заметить не более 10 мошеннических учетных
записей для аномального кластера.

22

32
 Вторым примером можно привести случай, когда клиент не использует сессионный
анти-фрод (рис. 23). Как видно на иллюстрации, мошеннические кластеры имеют
гораздо большие размеры. Сеть из трех устройств содержит 2650 пользователей, а
сеть из десяти устройств может поддерживать вплоть до 65 000 пользователей. Мо-
шенническая сеть, обнаруженная сессионным анти-фрод решением Kaspersky Fraud
Prevention (рис.22), была создана в 2018 г. и прошла через масштабное расширение,
результатом которого стали тысячи синтетических учётных записей.

23

33
Предсказания по трендам
кибермошенничества на 2020 год
Мошенничество как сервис Дальнейшее развитие Fraud as a service как по вертикали (рост количества постав-
щиков идентичных услуг) так и по горизонтали (рост видов услуг), развитие рынков
цифровых отпечатков, улучшение ПО, используемого мошенниками (анонимайзеры
и боты), в финансовом секторе социальная инженерия останется главным инстру-
ментом мошенничества, в рамках которой будет использоваться подмена входящего
номера, IVR, RAT. В сфере электронной коммерции при наличии программ лояльности
мошенники все так же будут искать ошибки в дизайне программ лояльности с целью
выявления мест, позволяющих обогатиться. В сфере электронных услуг от государ-
ства останется проблема, связанная с кражей личности, персональных данных и неле-
гитимного заказа услуг.

Перепродажа доступа В течение 2019 года мы были свидетелями случаев, когда группы, которые специализи-
к банковским системам руются на целенаправленных атаках на финансовые учреждения, появлялись в сетях
жертв после вторжений других групп, которые специализируются на продаже доступа
rdp / vnc, таких как FXMSP и TA505. Эти факты также подтверждают подпольные фору-
мы и чат-мониторинг.

В 2020 году мы ожидаем увеличение активности групп, специализирующихся

на продаже сетевого доступа в регионах Африки и Азии, а также в Восточной Европе.
Их основными целями являются небольшие банки, а также финансовые организации,
недавно купленные крупными игроками, которые перестраивают свою систему ки-
бербезопасности в соответствии со стандартами материнских компаний.

Ransomware атакует банки Этот прогноз логически следует из предыдущего. Как уже упоминалось выше, не-
большие финансовые учреждения часто становятся жертвами оппортунистических
киберзлоумышленников. Если эти злоумышленники не могут перепродать доступ или
даже если возможность, что они смогут снять деньги, становится менее вероятной,
то наиболее логичной монетизацией такого доступа является вымогательство. Банки
относятся к тем организациям, которые с большей вероятностью заплатят выкуп, чем
допустят потерю данных, поэтому мы ожидаем, что число таких целевых атак вымога-
телей продолжит расти в 2020 году.

2020: возвращение Антивирусные продукты для эффективного обнаружения инструментов с открытым

пользовательских инструментов исходным кодом, используемых в целях ручного тестирования, и внедрение новейших
технологий киберзащиты подтолкнут кибермошенников к 2020 году вернуться к поль-
зовательским инструментам, а также инвестировать в новые трояны и эксплойты.

Глобальная экспансия троянов Наши исследования и мониторинг подпольных форумов позволяют предположить, что
мобильного банкинга: результат исходный код некоторых популярных троянов мобильного банкинга попал в открытый
утечки информации доступ. Учитывая популярность таких троянов, мы ожидаем повторения ситуации,
когда произошла утечка исходного кода троянов ZeuS и SpyEye: количество попыток
атаковать пользователей в разы увеличится, а география атак расширится почти
до каждой страны в мире.

Инвестиционные приложения Мобильные инвестиционные приложения становятся всё более популярными среди
на подъеме: новая цель для пользователей по всему миру. Эта тенденция не останется незамеченной киберпре-
злоумышленников ступниками в 2020 году. Учитывая популярность некоторых финтехкомпаний и бирж
(как для реальных, так и для виртуальных денег), кибермошенники поймут, что не все
из них готовы бороться с массовыми кибератаками, так как в некоторых приложе-
ниях по-прежнему отсутствует базовая защита учётных записей клиентов, а также
не предусмотрена двухфакторная проверка подлинности или закрепление сертифи-
катов для защиты взаимодействия приложений. В некоторых странах правительства
дерегулируют эту область, и новые игроки появляются каждый день, очень быстро
становясь популярными. Фактически мы уже видели попытки кибермошенники заме-
нить интерфейсы этих приложений своими вредоносными версиями.

34
Magecarting 3.0: ещё больше За последние пару лет JS Skimming приобрел огромную популярность среди злоу-
криминальных группировок и атак мышленников. К сожалению, мошенники теперь имеют огромные возможности для
на облачные сервисы атак, включая уязвимые сайты электронной коммерции и чрезвычайно дешевые
инструменты JS-скиммера, доступные для продажи на различных форумах, начиная
от 200 долларов. На данный момент мы можем выделить как минимум 10 различных
участников этих типов атак, и мы считаем, что их число будет расти в течение следую-
щего года. Наиболее опасным атакам подвергнутся организации, которые предостав-
ляют такие услуги, как электронная коммерция, что приведет к компрометации тысяч
компаний.

Политическая нестабильность, В некоторых странах происходят политические и социальные перевороты, в результа-

ведущая к распространению те которых массы людей ищут статус беженца в других странах. Эти волны иммигра-
киберпреступности в конкретных ции включают в себя разных людей, в том числе киберзлоумышленников. Это явление
регионах приведет к распространению географически локализованных атак в странах, которые
ранее не были затронуты ими.

Новый вектор атаки может появиться со вступлением в силу правил регулирования

банковской деятельности в Европейском союзе. Директива о платёжных услугах
(PSD2) налагает регулятивные требования на компании, предоставляющие платёжные
сервисы. Под действие новых норм подпадают и финтехкомпании, которые традици-
онно не принято относить к банковскому сообществу.

Безопасность онлайн- и мобильных платежей – это ключевой аспект законодатель-

ства. С другой стороны, банки столкнутся с требованием открыть инфраструктуру
и данные для сторонних субъектов, желающих предоставлять услуги их клиентам, –
в этих условиях существует вероятность, что злоумышленники попытаются эксплуа-
тировать эти механизмы при помощи новых мошеннических схем.7

7
https://kas.pr/h227

IT Security News: TOP 100 Kaspersky Fraud Prevention включен в 100

www.kaspersky.com/blog лучших изобретений 2017 года по версии
Cyber Threats News: Роспатента: https://kas.pr/100best
www.securelist.com

Kaspersky Fraud Prevention Automated

@KasperskyFP Fraud Analytics [156555] включена в Реестр
по Приказу Минкомсвязи РФ от 19.11.2019 №742,
Приложение 1, № пп. 72, реестровый № 5954
www.kaspersky.com Kaspersky Fraud Prevention Advanced
Authentication [156556] включена в Реестр
2020 AO Kaspersky Lab. All rights reserved. Registered по Приказу Минкомсвязи РФ от 19.11.2019 №742,
trademarks and service marks are the property of their
respective owners. Приложение 1, № пп. 73, реестровый № 5955